СЕТЕВАЯ БЕЗОПАСНОСТЬ:ДВЕ СТОРОНЫ ОДНОЙ МЕДАЛИ
Дрожжин ДанилЭксперт по сетевой безопасности
Москва, 2015
2
ПОВЕСТКА
Проблемы традиционного межсетевого экранирования
3
ПОВЕСТКА
Проблемы традиционного межсетевого экранирования
В чем опасность 0-day атак, и как с ними бороться?
4
ПОВЕСТКА
Проблемы традиционного межсетевого экранирования
В чем опасность 0-day атак, и как с ними бороться?
Практический опыт. Как обойти правила безопасности
большинства межсетевых экранов?
5
ПОВЕСТКА
Проблемы традиционного межсетевого экранирования
В чем опасность 0-day атак, и как с ними бороться?
Практический опыт. Как обойти правила безопасности
большинства межсетевых экранов?
DDoS. Защита инфраструктуры и бизнес-критичных сервисов
6
ПОВЕСТКА
Проблемы традиционного межсетевого экранирования
В чем опасность 0-day атак, и как с ними бороться?
Практический опыт. Как обойти правила безопасности
большинства межсетевых экранов?
DDoS. Защита инфраструктуры и бизнес-критичных сервисов
DDoS – это затратно?
7
ПОВЕСТКА
Проблемы традиционного межсетевого экранирования
В чем опасность 0-day атак, и как с ними бороться?
Практический опыт. Как обойти правила безопасности
большинства межсетевых экранов?
DDoS. Защита инфраструктуры и бизнес-критичных сервисов
DDoS – это затратно?
Недостатки облачной защиты от DDoS
8
ПРОБЛЕМЫ МЕЖСЕТЕВОГО ЭКРАНИРОВАНИЯ
Основной проблемой межсетевого экранирования является отсутствие контроля приложений
Политики стандартных межсетевых экранов базируются на контроле Портов IP- адресов Протоколов
Но современные приложения изменились,
что означает: Порты = приложение
IP-адреса = пользователи Пакеты = контент
9
СТАНДАРТНЫЕ МЕТОДЫ РЕШЕНИЯ ПРОБЛЕМ
Стандартный метод решения данной проблемы заключается в добавлении дополнительных решений «помощников» межсетевых экранов
Enterprise Network
IMDLPIPS ProxyURLAV
UTM
Internet
AppSignatu
res
IPSSignatures
VirusSignatures
URLSignatures
Application
Policy
Application
Inspection
IPSPolicy
Threat Inspect
ion
Anti-VirusProxy
AV Inspect
ion
Web FilteringPolicy
URL Inspecti
on
Packet Inspection Flow
Stateful FW policy
Port-based session
Inspection
L4 Session
Table
10
О ПРОИЗВОДИТЕЛЕ
Преимущества Palo Alto Networks:
Команда мирового класса с богатейшим опытом в
области безопасности и сетевых технологий
Основана в 2005 году
Наличие российского представительства с
большим количеством тестового оборудования
Более 10 000 корпоративных заказчиков в 100
странах мира
Техническая поддержка 24х7х365, склад RMA в РФ
Авторизованные учебные курсы на русском языке
Исследование консалтинговой компании GARTNER
11
ТЕХНОЛОГИИ PALO ALTO NETWORKS
App-ID Идентификация
приложений
User-ID Идентификация пользователей
Content-ID Контроль
данных
App-ID
Content-ID User-ID
12
БЫСТРОДЕЙСТВИЕ
Межсетевые экраны нового поколения Palo Alto используют архитектуру однопроходной параллельной обработки
При сканировании одновременно анализируется и определяется: Приложение Пользователь\группа Контент – угрозы, URL и т.д.
Параллельная обработка Специализированное
аппаратное обеспечение для каждой задачи
Разделение Data plane и Control plane
Один проход Каждый пакет сканируется только один раз.
13
СТАТИСТИКА
Молдова
Беларусь
Монголия
Украина
Армения
Вьетнам
Азербайджан
Казахстан
Россия
00% 10% 20% 30% 40% 50% 60%
42%
44%
45%
47%
49%
49%
50%
53%
54%
Риск заражения пользователей вредоносным программным обеспечением
Россия занимает 1ое место в рейтинге стран по возможности заражению вредоносным программным обеспечением
* - статистика Kaspersky Security Bulletin 2014
14
КЛЮЧЕВЫЕ ЭТАПЫ СОВРЕМЕННОЙ СЕТЕВОЙ АТАКИ
Приманка
1
Завлечь, использовать специальное ПО, открыть файл или перейти на веб-сайт с вредоносным ПО
Эксплоит
2
Зараженный контент использует уязвимости установленного ПО без ведома пользователя
Загрузка ПО для «черного хода»
3
В фоне загружается и устанавливается второй вредонос
Установление обратного канала
4
Вредонос устанавливает исходящее подключение для связи с злоумышленником
Разведка и кража данных
5
Удаленный злоумышленник имеет доступ внутри сети и проводит атаку
15
РАСПРОСТРАНЕНИЕ ВРЕДОНОСНОГО ПО НУЛЕВОГО ДНЯ
Час
Коли
чест
во п
опы
ток
зара
жен
ия
Подписка WildFire
На примере 50 вредоносов нулевого дня в сетях заказчиков Palo Alto Networks
• Очень высокая скорость в первые 8 часов
• Выравнивание после 24 часов
16
АРХИТЕКТУРА СЕРВИСА WILDFIRE
17
ПРАКТИЧЕСКИЙ ОПЫТ
Крупная компания-перевозчик
Отказоустойчивый кластер в главном ЦОД
14 региональных филиалов
Организация удаленного доступа через Global Protect
Совместимость с протоколами динамической
маршрутизации
Централизованная система управления – Panorama
18
ПРАКТИЧЕСКИЙ ОПЫТ
Пытаемся зайти на РБК. Настроено правило, которое блокирует доступ к URL-категории «news and media»
19
ПРАКТИЧЕСКИЙ ОПЫТ
Переводим с русского на русский в Google Translate
20
ПРАКТИЧЕСКИЙ ОПЫТ
С настроенным SSL Forward Proxy
21
ПРАКТИЧЕСКИЙ ОПЫТ
Запрещено обращение именно к категории news and media
22
ВЫВОДЫ
Приложения нужно идентифицировать независимо от того,
как оно пытается пройти через межсетевой экран
Дешифрация SSL в корпоративной сети необходима
Сервис WildFire снижает человеческий фактор в
информационной безопасности
МСЭ Palo Alto Networks – мультитул для организации
Palo Alto Networks – лидеры рынка NGFW
23
ЧТО ТАКОЕ DDOS-АТАКА?
24
АНАТОМИЯ АТАК
Кого атакуют?
* - статистика Wide Infrastructure Security Report 2014
Series10%
10%
20%
30%
40%
50%
60%
70%
Обл./хостинг провайдерыФинансыПравительствоЭл. коммерцияИгрыЗдоровьеОбразованиеМедиаРитейл
25
АНАТОМИЯ АТАК
Кого атакуют?
* - статистика Wide Infrastructure Security Report 2014
Series10%
10%
20%
30%
40%
50%
60%
70%
Обл./хостинг провайдерыФинансыПравительствоЭл. коммерцияИгрыЗдоровьеОбразованиеМедиаРитейл
Series10%
10%20%30%40%50%60%70%80%
HTTPDNSHTTPSSMTPSIP/VoIPIRCДругие
Какие сервисыатакуют?
26
ПОЧЕМУ ВАЖНА ЗАЩИТА ОТ DDOS?
Доступность ботнетов
27
ПОЧЕМУ ВАЖНА ЗАЩИТА ОТ DDOS?
Доступность ботнетов Мотивы
28
ПОЧЕМУ ВАЖНА ЗАЩИТА ОТ DDOS?
Доступность ботнетов Мотивы
29
ПОЧЕМУ ВАЖНА ЗАЩИТА ОТ DDOS?
Доступность ботнетов Мотивы
30
ПОЧЕМУ ВАЖНА ЗАЩИТА ОТ DDOS?
Доступность ботнетов Мотивы Объемы
31
ПОЧЕМУ ВАЖНА ЗАЩИТА ОТ DDOS?
Доступность ботнетов Мотивы Объемы Сложность
0%
10%
20%
30%
40%
50%
60%
70%
Типы DDoS-атак
65% - Атаки на переполнение 20% - Атаки на таблицу сессий17% - Атаки уровня приложений
32
ПОЧЕМУ ВАЖНА ЗАЩИТА ОТ DDOS?
Доступность ботнетов Мотивы Объемы Сложность Частота
6%
40%
16%
7%
9%
9%
13%
Частота атак0 1-10 11-20 21-5051-100 101-500 Более 500
19%
32%
9%
6%
13%
6%
12%2%
Продолжительность атак< 1 часа 1-6 часов 7-12 часов 13-24 часа1-3 дня 4-7 дней 1-4 недели > 1 месяца
33
ЖЕРТВЫ DDOS-АТАК ВЕСНЫ 2014
34
КАТЕГОРИЗАЦИЯ DDOS-АТАК
Volumetric AttacksПереполняет каналы связи: Во внутренних сетях цели Между сетями провайдера и
атакуемой сетью
ISP 2
ISP 1
ISP n
ISP Firewall IPS
LoadBalancer
Серверы приложений
35
КАТЕГОРИЗАЦИЯ DDOS-АТАК
Volumetric AttacksПереполняет каналы связи: Во внутренних сетях цели Между сетями провайдера и
атакуемой сетью
TCP State-Exhausting Attacks Атака направленная на устройства
связи с контролем состояний (load balancers, firewalls, application servers)
Нацелена на традиционную структуру сетевой безопасности
ISP 2
ISP 1
ISP n
ISP Firewall IPS
LoadBalancer
Серверы приложений
36
КАТЕГОРИЗАЦИЯ DDOS-АТАК
Volumetric AttacksПереполняет каналы связи: Во внутренних сетях цели Между сетями провайдера и
атакуемой сетью
TCP State-Exhausting Attacks Атака направленная на устройства связи
с контролем состояний (load balancers, firewalls, application servers)
Нацелена на традиционную структуру сетевой безопасности
Application Layer Attacks Малозаметные атаки на приложения Нацелены на определённые уязвимости
приложений
ISP 2
ISP 1
ISP n
ISP Firewall IPS
LoadBalancer
Серверы приложений
37
ЗАЩИТА ОТ DDOS
Установлен у 100% сервис-провайдеров уровня Tier 1 Мониторинг мирового интернет-трафика (>120 Тбит/с) Лидер в операторском, enterprise и мобильном сегменте
38
ЗАЩИТА ОТ DDOS
Установлен у 100% сервис-провайдеров уровня Tier 1 Мониторинг мирового интернет-трафика (>120 Тбит/с) Лидер в операторском, enterprise и мобильном сегменте
39
СХЕМА ЛУЧШЕЙ ЗАЩИТЫ ОТ DDOS
Операторы связи Корпоративные заказчики
Продукты серии:
40
ПРЕИМУЩЕСТВА ARBOR PRAVAIL APS
Защита “из коробки”
41
ПРЕИМУЩЕСТВА ARBOR PRAVAIL APS
Защита “из коробки”
Простота внедрения
В разрыв: активный/пассивный Мониторинг на Span/Tap
Pravail APS Сеть ЦОД
Pravail APS
Сеть ЦОД
Link Tap / Port Span
42
ПРЕИМУЩЕСТВА ARBOR PRAVAIL APS
Защита “из коробки”
Простота внедрения
Блокировка комплексных атак
43
ПРЕИМУЩЕСТВА ARBOR PRAVAIL APS
Защита “из коробки”Простота внедренияБлокировка комплексных атакОблачная сигнализация
44
ПРЕИМУЩЕСТВА ARBOR PRAVAIL APS
Защита “из коробки”
Простота внедрения
Блокировка комплексных атак
Облачная сигнализация
Очистка SSL-трафика
45
ПРЕИМУЩЕСТВА ARBOR PRAVAIL APS
Защита “из коробки”
Простота внедрения
Блокировка комплексных атак
Облачная сигнализация
Очистка SSL-трафика
Интерфейс на русском языке
46
ПРЕИМУЩЕСТВА ARBOR PRAVAIL APS
Защита “из коробки”
Простота внедрения
Блокировка комплексных атак
Облачная сигнализация
Очистка SSL-трафика
Интерфейс на русском языке
Обновляемые сигнатуры Atlas Intelligence Feed
47
ACTIVE THREAT LEVEL ANALYSIS SYSTEM (ATLAS)
Первая в мире система анализа угроз
Peakflow SP Peakflow SP
ISP NetworkDARKNET
ATLAS SENSOR
Peakflow SP Peakflow SP
ISP NetworkDARKNET
ATLAS SENSOR
Peakflow SP Peakflow SP
ISP NetworkDARKNET
ATLAS SENSOR
ATLAS DATA CENTER
ATLAS ANALYSIS SYSTEMS
Сенсоры систем ATLAS расположены в сети интернет для обнаружения и классификации атак
Информация отправляется в ATLAS central repository где объединяется с данными полученными от инсталляция Arbor Peakflow и другими данными
Команда ASERT анализирует данные и создаёт Fingerprint
1
2
3
Более 300 операторов мира предоставляют
данные для анализа
48
ACTIVE THREAT LEVEL ANALYSIS SYSTEM (ATLAS)
Honeypots &SPAM Traps
ATLAS
SecurityCommunity
2.2M +сэмплы
DDoSFamily
20,000 + Вредоносных программ в день
“Песочница из виртуальных машин” запускает вредоносный код(ищет командный центр сети ботнет, отслеживает отклонения и закономерности сетевого поведения кода)
“Fingerprint”
Отчёт и PCAP файлы сохраняются в базе
Постоянная аналитика 24 часа в сутки для создания базы данных сигнатур
49
ACTIVE THREAT LEVEL ANALYSIS SYSTEM (ATLAS)
ЗАЩИТА
Продукты Arbor Pravail и Peakflow автоматически
получают последнюю информацию об интернет
угрозах используя Atlas Intelligence Feed (AIF)
Поведенческийпризнак
АНАЛИЗ
Команда ASERT находит и анализирует
угрозы
Вредоносное ПОБотнеты
ЧервиP2P
Arbor Networks анализирует 120Tbps
ПОИСК
120Tbps, около 1/3 глобального интернет
трафика
52
ВЫВОДЫ
DDoS-атаки и атаки нулевого дня – это угроза бизнесу
53
ВЫВОДЫ
DDoS-атаки и атаки нулевого дня – это угроза бизнесу Защита должна быть умной и многоуровневой
54
ВЫВОДЫ
DDoS-атаки и атаки нулевого дня – это угроза бизнесу Защита должна быть умной и многоуровневой ATLAS – лучший центр экспертизы по защите от DDoS
55
ВЫВОДЫ
DDoS-атаки и атаки нулевого дня – это угроза бизнесу Защита должна быть умной и многоуровневой ATLAS – лучший центр экспертизы по защите от DDoS Arbor Networks и Palo Alto Networks – лидеры рынка
56
Решаемые проблемы:
• Отсутствие исчерпывающей информации по
объемам, виду и составу как внутрисетевого
трафика, так и межсетевого взаимодействия (в
том числе взаимодействие с Интернет);
• Наличие сетевых уязвимостей инфраструктуры
(сетевые вирусы, активности бот сетей,
попытки вторжения и т.д.);
• Сокращение инвестиций на развитие сетевой
инфраструктуры;
• Сокращение инвестиций на развитие внешних
каналов связи.
и еще более 40 услуг от КРОК бюджетом до 1 млн рублей и сроком выполнения до 1 месяцаПодробнее: www.croc.ru/expressКонтакты: [email protected]
ВНЕДРИТЬ ИТ-ПРОЕКТ ЗА МЕСЯЦ!СЕГМЕНТАЦИЯ СЕТЕВОЙ ИНФРАСТРУКТУРЫ
57
БУДУ РАД ВОПРОСАМ!
[email protected] 111033, Москва, ул. Волочаевская, д.5, корп.1
+7 495 974 2772www.croc.ru
Дрожжин ДанилЭксперт по сетевой безопасности